Les attaques de phishing visant Office 365 sont courantes et très convaincantes. Les cybercriminels contournent facilement les contrôles de filtrage de spams d’Office 365 pour s’assurer que les messages atteignent les boîtes de réception de leurs victimes.
De plus, les formulaires de phishing sont hébergés sur des pages Web sécurisées par des certificats Microsoft SLL valides pour convaincre les utilisateurs que les sites Web sont authentiques.
Les attaques de phishing visant Office 365 peuvent être difficiles à identifier
Lorsqu’un email de phishing parvient à contourner les défenses du périmètre de sécurité et arrive dans une boîte de réception, il y a plusieurs signes révélateurs qu’il n’est pas authentique.
Il y a souvent des fautes d’orthographe, une grammaire incorrecte, et les messages sont envoyés par des expéditeurs ou proviennent des noms de domaine douteux. Pour obtenir des taux de réponse élevés, les cybercriminels passent désormais beaucoup plus de temps à rédiger soigneusement leurs emails de phishing. Souvent, ces messages sont pratiquement impossibles à distinguer des communications authentiques de la marque qu’ils usurpent.
En effet, il s’agit de copies conformes d’emails authentiques qui comportent l’image de marque, les informations, les coordonnées de l’expéditeur et les logos de l’entreprise qui est victime de l’usurpation. Le sujet est parfaitement crédible, le contenu est bien écrit et les actions que l’utilisateur est invité à entreprendre sont parfaitement plausibles.
Des hyperliens sont contenus dans les emails. Ils dirigent les utilisateurs vers un site Web où ils doivent entrer leurs données d’accès. À ce stade de l’attaque de phishing, il y a habituellement d’autres signes pouvant indiquer que tout n’est pas aussi normal qu’il n’y paraît.
Un élément qui vous permet de savoir qu’un site Web n’est pas être authentique est que son adresse commence par HTTP plutôt que par HTTPS, ou bien que son certificat SSL n’appartient pas à l’entreprise dont le site Web est en train d’être piraté.
Mais ces signes révélateurs ne sont pas toujours présents, comme l’ont montré les récentes attaques de phishing visant Office 365.
En réalité, les formulaires de phishing peuvent être hébergés sur des pages Web comportant des certificats SSL Microsoft valides ou des certificats SSL émis à d’autres fournisseurs de services dans le cloud, tels que CloudFlare, DocuSign, ou Google.
Arnaque de phishing sur le stockage Blob de Microsoft Azure
Une escroquerie récente par phishing utilise le stockage Blob de Microsoft Azure pour obtenir un certificat SSL valide pour le formulaire de phishing. Il peut être utilisé pour stocker une variété de données non structurées. Bien qu’il soit possible d’utiliser HTTP et HTTPS, la campagne de phishing utilise ce dernier, qui affichera un certificat SSL certifié par Microsoft.
Dans cette campagne, les utilisateurs finaux reçoivent un email avec un bouton sur lequel ils doivent cliquer pour voir le contenu d’un document hébergé dans le cloud. Dans ce cas, le document semble provenir d’un cabinet d’avocats de Denver.
En cliquant sur le bouton, l’utilisateur est dirigé vers une page HTML hébergée sur le blog Microsoft Azure qui nécessite l’entrée d’identifiants Office 365 pour visualiser le document. Étant donné que le document est hébergé sur le blog Microsoft Azure, c’est-à-dire un service de Microsoft, il possède un certificat SSL valide qui a été émis à Microsoft, ce qui ajoute de la légitimité à l’arnaque.
La saisie des identifiants de connexion dans le formulaire les enverra aux attaquants. L’utilisateur sera alors dirigé vers une autre page Web, probablement sans savoir qu’il a été victime d’une attaque de phishing.
La passerelle IPFS CloudFlare peut être utilisée abusivement
Une campagne similaire a été détectée et abuse de la passerelle IPFS CloudFlare.
Les utilisateurs peuvent accéder au contenu du système de fichiers distribué IPFS via un navigateur Web. Lorsqu’ils se connectent à cette passerelle via un navigateur Web, la page HTML est sécurisée par un certificat SSL CloudFlare. Dans ce cas, la connexion nécessite la saisie d’informations telles que le nom d’utilisateur, le mot de passe, l’adresse email de récupération et le numéro de téléphone — qui seront transmis à l’attaquant.
Les utilisateurs, quant à eux, seront dirigés vers un fichier PDF sans savoir que leurs identifiants ont été volés.
Les protections anti-phishing d’Office 365 sont insuffisantes
Les utilisateurs d’Office 365 sont la cible des cybercriminels. Ces derniers sont bien conscients que les contrôles de phishing d’Office 365 peuvent être facilement contournés. Même avec l’option « Advanced Threat Protection for Office 365 » de Microsoft, les emails de phishing peuvent toujours être envoyés aux utilisateurs finaux.
Une étude réalisée en 2017 par SE Labs a montré qu’en dépit de cette option, les mesures anti-phishing d’Office 365 n’étaient classées pas fiables en matière de protection de données. Si les utilisateurs utilisent uniquement l’option « Exchange Online Protection » de base de Microsoft, la protection est encore pire.
Que vous soyez une PME ou une grande entreprise, vous êtes susceptible de recevoir de gros volumes de spams et d’emails de phishing. De nombreux messages malveillants seront livrés dans les boîtes de réception des utilisateurs finaux.
Étant donné que les emails peuvent être pratiquement impossibles à identifier comme étant malveillants pour certains d’entre eux, il est probable que tous vos employés, sauf les plus expérimentés, bien formés et soucieux de la sécurité, seront trompés.
Vous devriez donc adopter une solution avancée de filtrage des spams d’une tierce partie. Elle doit être dotée de systèmes de contrôle et de filtrage de spams d’Office 365 afin d’offrir une protection plus fiable.
Comment rendre Office 365 plus sûr ?
Office 365 bloque les spams et les emails de phishing (Osterman Research a démontré qu’il bloque 100% des malwares connus). Pourtant, il a été prouvé qu’il n’est pas efficace contre les menaces de phishing avancées comme le spear phishing.
Office 365 n’a pas le même niveau de technologie prédictive que les passerelles de sécurité de messagerie dédiées sur site et dans le cloud. Celles-ci sont bien meilleures pour détecter les attaques zero-day, les nouveaux malwares et les campagnes avancées de spear phishing.
Afin d’améliorer considérablement la protection de votre système informatique, vous avez besoin d’une solution tierce de filtrage des spams pour Office 365n, telle que SpamTitan.
SpamTitan se concentre sur la défense en profondeur et offre une protection supérieure contre les attaques de phishing avancées, les nouveaux malwares et les attaques sophistiquées par email. Ce qui garantit que les messages malveillants sont bloqués ou mis en quarantaine plutôt que d’être livrés dans les boîtes de réception des utilisateurs finaux.
Certaines des protections supplémentaires fournies par SpamTitan contre les attaques de phishing visant Office 365 sont détaillées dans l’image ci-dessous :
Pour en savoir plus sur la sécurisation d’Office 365 et sur les avantages de SpamTitan pour votre entreprise, contactez TitanHQ.
Nos conseillers commerciaux hautement expérimentés seront en mesure de vous conseiller sur la gamme complète des avantages de SpamTitan et la meilleure option pour son déploiement. Ils peuvent vous offrir un essai gratuit pour vous permettre d’évaluer personnellement la solution avant de choisir notre solution.